五、把握循序渐进的推进节奏
培育信息控制者内部治理机制与构筑有效的外部执法威慑,只是信息控制者与管理者两个主体之间的单维度关系,属于监管范畴的制度构建。要实现大数据利用与个人信息保护之间的协调发展,肯定不能遗漏信息主体及其权利行使,这就涉及信息主体、信息控制者、管理者三者之间的多维治理结构。缺乏信息主体参与,缺乏完整的治理结构支撑,不可能出现激励相容的结果,大数据发展与个人信息保护不可能实现持久平衡。当然,一旦引入多维视角,问题就会复杂得多。美欧两种模式之间的真正差别,其实在于究竟是在多维还是在单维中考虑个人信息保护。欧盟从一开始就需要处理好基本权利保护与信息自由流动不同价值之间的关系,注定了要在多维视角中解决问题,因此一直面临很大的平衡压力。但在长期努力之下,其基本理念与制度已经被其他国家普遍接纳。美国一直回避基本权利话语,仅从消费者风险防范单维度考虑个人信息安全,处理起来更为简单。美国在国际上能够特立独行,一是因为美国商界对于创新的重视和对政府监管的怀疑;二是国内强有力的执法机制,能够有效规范市场主体的行为;三是在国际上具有霸权地位,可以靠实力推行自己的一套价值观。美国所具有的这些条件其他国家大多难以完全具备,其做法也难以为其他国家所照搬。但是,随着大数据带来的个人信息安全关切日益上升,美国也一直面临越来越大的国内外压力,要求更重视消费者权利,让消费者有权控制自己的信息。奥巴马政府2012年首次发布消费者隐私权利法案白皮书,2015年直接以法案形式提出完整的立法建议,都是希望以消费者控制为核心理念来完善制度,赋予消费者控制哪些个人信息可以被收集以及这些信息如何使用的权利。尽管这些建议尚未能付诸实践,但已经反映了制度构建上多维视角的重要性,欧盟长期面临的双重价值平衡问题迟早也会在美国出现。
我国制定个人信息保护法,不能够也不应该回避权利话语。这主要是因为:首先,要继续参与国际经贸交往,我们只能构建国际通行的多维话语体系与个人信息保护法律制度,否则很有可能被排斥在国际规则体系之外。其次,近年来的国内相关立法已经在个人信息权利保护上迈出重要的步伐,包括民法总则第111条在民事权利部分明确规定保护个人信息,2013年消费者权益保护法修改后纳入了后悔权和个人信息权等新类型权利,《征信业管理条例》系统构建了信息主体对于个人征信信息的控制制度,网络安全法在回避使用权利概念的同时实际上部分确立了包括被遗忘权在内的新型权利的法律地位。随着社会的发展,不论是私法性质还是公法性质的权利,权利的种类、范围等都在不断扩大之中,个人信息保护法要顺应大数据发展历史潮流,承担推进个人信息保护的历史责任。最后,其实也是最重要的理由在于,随着大数据广泛使用,个人信息面临的威胁也同步加大,公众对于个人信息安全的需求和意识会越来越强烈,法律必须予以回应。
2014年,中国消费者协会的个人信息保护状况调查发现,约三分之二受访者在过去一年内个人信息曾被泄露或窃取。受访者中,认为“服务商未经本人同意,暗自收集个人信息”是消费者个人信息泄露的最主要途径,占比达64.08%。中国信息通信研究院的一项实证调查也发现,近80%的用户认为隐私泄露严重,防不胜防;并且,用户维权意识提升,认为企业“不告知收集”和“非法买卖个人信息”是突出问题。另一项权威数据显示,2016年遭遇过网络安全事件的用户占比达到整体网民的70.5%,其中网上诈骗是网民遇到的首要网络安全问题,39.1%的网民曾遇到过这类安全事件。公安部刑侦局有关负责人几年前就表示,侵害公民个人信息犯罪是多种下游犯罪的源头,社会危害巨大,除引发电信、网络诈骗等各种新型犯罪外,还与绑架、敲诈勒索、暴力追债等黑恶犯罪合流。2016年底徐玉玉案之后,公民个人信息泄露导致的生命财产威胁引起社会各界广泛关注。在个人信息面临各种严峻挑战、公众信息安全意识逐步提升的大背景下,个人信息保护法如果不确立公众维护自己权利的制度,不能满足公众的最基本安全需求,公众一定会用实际行动(包括用脚投票)来维护自己的信息安全,动摇大数据发展的基石,结果只会导致信息控制者、管理者、信息主体的双输或者多输结果。
因此,个人信息保护法应该在近几年各项立法的基础上,借鉴国际社会成功经验,包括美国与欧盟的经验,以全面构建个人数据治理体系为原则,以防范个人信息安全风险为目标,明确引入公法意义上的个人信息控制权概念,并在收集、使用、转移、存储、跨境传输、销毁、查询、更正等个人信息处理的全过程,明确信息主体的知情权、同意权、选择权、变更权、删除权、撤回权等各权项,使信息主体能够真正参与到个人信息保护之中。
大数据时代的个人信息保护是一个崭新的领域,个人信息权属于一项新的权利,权利的性质与边界都还不清晰,不宜简单用传统权利观念剪裁。简单照搬传统权利理论,可能会陷入无休止的理论争论之中,耗费大量精力。缺乏系统制度支撑的法律规定,口号再响亮,规范意义也会非常模糊,在实践中更不可能产生影响。各国实践已经证明,即使立法技术科学,权利体系设计严密,仅仅依靠个人同意权等传统隐私权保护机制,无法应对大数据快速发展背景下的个人信息保护问题,告知同意机制完全可能流于形式,信息主体只能选择同意。正因为如此,才有欧盟、美国对激励相容机制的共同探索。
这就表明,个人信息保护法在设计治理结构的同时,必须考虑实施环节的激励相容机制实现问题,使实施部门对立法目的和基本制度构造有非常清晰的整体认识,并处理好不同维度之间的关系。个人信息保护法的实施需要循序渐进、突出重点、把握主线,以风险管理与防控为共同切入点,寻求法律实施的最大公约数,梯度递进。首先要通过立法在内的外部机制助推信息控制者组织架构变革,发育有效内生机制,形成内外互动合力,以有效预防绝大部分个人信息安全风险。在此基础上,根据国情、信息控制者接受度和公众偏好等因素,逐步探索提高价值定位,如合规、权利实现等。这种实施策略,既可以形成激励相容合力,调动信息控制者维护信息安全的积极性,降低规制成本,迅速实现基本安全目标,也有利于监管部门集中执法力量,聚焦核心环节,避免执法力量过于分散。比如,对于信息控制者的不合规行为,在既有协商执行的余地又有强制手段的情况下,先协商执行效果可能要比简单强制好,更有利于调动信息控制者持续改进的积极性,而不是一罚了事。再如,个人信息从最内核的隐私信息到通常理解的敏感信息再到最外围的大数据意义上的非敏感个人信息,呈现一个放射状扇形结构。对于不同的个人信息,执行机制就要进行区分,采用不同强度的保护标准,界定信息控制者不同的责任。又如,信息主体权利的实现是一个过程,个人信息保护法中规定的不同权项不可能一步同时到位,执行中必然也需要有所区分,根据不同场景设计不同制度。也就是说,个人信息保护法的制定只是完成了一半任务,另一半任务在于实施中的策略选择和具体部署,如何实施法律决定了最初立法目标能否真正实现。
如果打破上述次序,不是先从信息安全风险管理角度切入,由易到难,而是反其道而行之,一下子全部铺开,势必加大内生机制的形成难度,相互牵制、抵消,欲速则不达,事与愿违。中国四十年成功的渐进改革经验对个人信息保护法的实施路径选择有很强的参考意义,需要时时借鉴。实际上,激励相容的制度设计,通过外部威慑促使信息控制者内生机制发挥作用,而不是“一刀切”式的命令控制立法,正是为了在实施环节推动形成多元互动的良好治理格局,以实现立法目标。■
本文原载《法学研究》2018年第2期第3—23页,原标题为《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,注释略,经作者授权
然后点选“添加到主屏幕”添加快捷方式到桌面。
